Recrutement
Si vous êtes intéressés pour bosser sur des sujets sympas tout en restant loin de Paris, consultez nos offres d'emploi et envoyez nous votre CV à rh@amossys.fr.

Sujets de stage 2019-2020

Publication des offres de stage pour l'année 2019-2020.

Pourquoi venir en stage à AMOSSYS ?

Tu es passionné(e) par la cybersécurité ? Tu recherches un sujet de stage technique et challengeant ? Tu aimerais travailler dans une entreprise à taille humaine, dynamique et en croissance ?

Tu as répondu oui aux trois questions précédentes ? Postule à l’offre de stage qui t’intéresse et rejoins-nous !

Comment postuler ?

Merci d'envoyer ta candidature ainsi que la référence de l'offre à laquelle tu souhaites postuler à rh@amossys.fr

[réf: STAGE-2020-3-PLATEFORMETI] Plateforme de test d'intrusion

Description générale

Rattaché(e) au pôle Audit, vos missions seront les suivantes :

  • Découvrir et monter en compétence en audit de sécurité (méthodologie, exploitation de vulnérabilités, contournement d’antivirus, …)
  • Monter une plateforme ayant pour but de former, en interne et en externe, aux techniques de test d’intrusion (Web, SI d’entreprise et SI industriel)

Organisation du stage

Le stage s'organisera de la manière suivante :

  • Phase 1 : Découverte et montée en compétence en audit de sécurité
  • Phase 2 : Conception d’une plateforme d’entraînement aux techniques de test d’intrusion
  • Phase 3 : Mise en œuvre de cette plateforme sur un environnement virtualisé
  • Phase 4 : Documentation de cette plateforme et création de supports de formation

Profil souhaité

  • Niveau de qualification en cours : Bac +5 dans le domaine de la sécurité informatique
  • Compétences requises :
    • Windows
    • Linux
    • Réseau
    • Langages de script (Python, Powershell, Ruby, Go, …)
  • Compétences souhaitées : Une expérience dans l’audit de sécurité serait un plus (participation à des conférences, challenges, CTF, …)

Vous êtes motivé(e), aimez travailler en équipe et faites preuve d’autonomie. Vous disposez de bonnes qualités de communication orales et écrites et avez un niveau d’anglais professionnel.

[réf: STAGE-2020-04-OUTILVULN] Développement d’un outil de recherche de vulnérabilités

Description générale

AMOSSYS dispose de son propre outil de recherche de vulnérabilités sur une liste de produits. L’objectif du stage est de compléter et d’améliorer les fonctionnalités existantes.

Voici une liste non exhaustive des thèmes identifiés :

  • Ajouter une interface graphique de type Web (l’outil fonctionne actuellement en mode « ligne de commande »),
  • Améliorer l’édition des résultats (pouvoir définir plusieurs modèles),
  • Ajouter une gestion multi-utilisateurs,
  • Automatiser l’envoi des résultats (par mail) en fonction de la criticité des vulnérabilités,
  • Améliorer la recherche des vulnérabilités et le stockage des résultats dans une base de données,
  • Etc.

Il s’agit donc d’un stage en développement informatique, nécessitant des connaissances dans les outils, méthodes et langages utilisés.

Environnement technique : Python, programmation asynchrone, Linux, Automatisation, Git, Intégration continue

Organisation du stage

Le stage s'organisera de la manière suivante :

  • Phase 1 : Prise de connaissance de l’outil (documentation, utilisation, architecture, code)
  • Phase 2 : Développement de nouvelles fonctionnalités

Pour la phase 2, les nouvelles fonctionnalités à développer seront précisées et priorisées par le responsable du stage. Le code réalisé devra être accompagné d’une documentation détaillée. Chaque nouvelle fonctionnalité sera testée via un mécanisme d’intégration continue. Les travaux produits seront relus et validés par le responsable de stage et/ou un membre de l’équipe de développement.

Profil souhaité

  • Niveau de qualification en cours : Bac +5 en École d’ingénieurs ou Master en informatique
  • Compétences requises : Développement logiciel (Web, langage Python, base de données)
  • Compétences souhaitées : Qualités rédactionnelles, notions de développement « sécurisé »

L’esprit d’équipe, la rigueur et le fait d’être curieux(s) et force de proposition sont des qualités qui vous permettront de mener à bien vos missions.

[réf: STAGE-2020-05-AIDERIVULN] Outillage d’aide à la rétro-ingénierie et à la recherche de vulnérabilités

Description générale

La sécurisation des systèmes d’information repose en partie sur la mise en œuvre de fonctions (techniques, logicielles et matérielles) fournies dans de nombreux cas par des produits de sécurité. Dans le cadre de son CESTI, AMOSSYS réalise l’évaluation de produits de sécurité, afin d’en vérifier leur conformité et leur robustesse.

Ces produits, de plus en plus complexes, utilisent de nombreuses technologies internes des systèmes Microsoft Windows au sein de leur architecture. En particulier, les communications inter processus sont bien souvent un bon point d’entrée pour qui souhaite exposer les vulnérabilités d’un produit. En ce sens, il est intéressant d’étudier ces mécanismes plus en profondeur, dans l’optique de faciliter la recherche et l’analyse de vulnérabilités, ainsi que leur exploitation, dans des produits de sécurité.

Rattaché(e) au pôle Études, vous participerez à l’analyse et au développement de plusieurs outils dans l’objectif de mettre en place une plateforme d’aide à la retro-ingénierie et à la recherche de vulnérabilités.

Organisation du stage

Le stage s'organisera de la manière suivante :

  • Appréhender les différents mécanismes de communication offerts par Windows
  • Faire un état de l’art des outils existants
  • Concevoir l’architecture de la plateforme
  • Développer et mettre en place les outils
  • Tester la solution conjointement avec les analystes afin de s’assurer de sa stabilité et de son efficacité dans le cadre des analyses réalisées par le CESTI
  • Confirmer la pile technologique choisie à partir des tests effectués

Profil souhaité

  • Niveau de qualification en cours : Bac +5 dans la sécurité informatique avec un profil fortement orienté rétro-ingénierie et recherche de vulnérabilités
  • Compétences requises :
    • Bases en administration système
    • Rétro-ingénierie de code binaire, principalement x86/x64
    • Connaissances en développement et architecture logicielle
    • C / C++
    • Python
    • Windows
  • Compétences souhaitées :
    • Maitrise d’un désassembleur (IDA Pro / Ghidra)
    • Connaissances des moyens de communications offerts par Windows

[réf: STAGE-2020-06-CONTENEUR] Analyse de produits conteneurisés

Description générale

Ces dernières années, les architectures logicielles ont évolué pour inclure de plus en plus d’architectures à base de conteneurs. Cette évolution entraine une modification du modèle de sécurité des logiciels : alors qu'avant une analyse de l'hôte et de l'applicatif suffisait, une nouvelle couche "intermédiaire" est souvent présente. Que ce soit lors de l'analyse de produit ou l'audit de SI, cette nouvelle problématique est à prendre en compte. Il est donc important d'étudier ces technologies afin d'identifier les points critiques de ces architectures.

L'objectif du stage est d'étudier le fonctionnement d'un cluster de conteneurs afin de :

  • Identifier les points de contrôle à effectuer
  • Mettre en place une méthodologie d'analyse

Organisation du stage

Le stage s'organisera de la manière suivante :

  • Phase 1 : Étude des mécanismes de sécurité sous-jacents à la conteneurisation
  • Phase 2 : Mise en place d’un cluster de conteneur (Swarm ou Kubernetes) et étude des fonctions de sécurité présentes
  • Phase 3 : Réalisation d’une méthodologie d’audit via la définition de points de contrôle et développement d’outils

Profil souhaité

  • Niveau de qualification en cours : Bac +5 dans le domaine de la sécurité informatique
  • Compétences requises : Sécurité informatique et Linux
  • Compétences souhaitées : Administration systèmes et DevOps

Motivé(e), vous faites preuve de curiosité ainsi que de bonnes capacités d’analyse et de synthèse.

[réf: STAGE-2020-7-MICROARCHI] Microarchitecture et canaux auxiliaires

Description générale

Les processeurs sont conçus pour optimiser le temps d’exécution. Cependant, certaines attaques par canaux auxiliaires exploitent ces optimisations.

Les cache-timing attacks sont un type d’attaques visant en particulier des implémentations cryptographiques. Elles se basent sur le temps d’accès en cache de certaines données dépendant du secret. Les trois techniques les plus connues sont :

  • Evict+Time (MOLNAR, I. x86: Enable KASLR by default, https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6807c84652b0b7e2e198e50a9ad47ef41b236e59, 2017)
  • Prime+Probe (OSVIK, D. A., SHAMIR, A., AND TROMER, E. Cache Attacks and Countermeasures: the Case of AES. In CT-RSA, 2006)
  • Flush+Reload (YAROM, Y., AND FALKNER, K. Flush+Reload: a High Resolution, Low Noise, L3 Cache Side-Channel Attack. In USENIX Security Symposium, 2014)

Plus récemment, les attaques Meltdown et Spectre (https://meltdownattack.com/) ont fait beaucoup parler d’elles de par leur impact (tous les systèmes sont affectés) et la difficulté de s’en prémunir. Ces attaques exploitent l’exécution spéculative des processeurs.

L’objectif de ce stage est l’étude et la mise en place de ces attaques (en particulier Meltdown et Spectre), ainsi que la méthodologie d’évaluation afin de déterminer si des systèmes sont vulnérables ou non.

Organisation du stage

Le stage s'organisera de la manière suivante :

  • Phase 1 : Étude et classification des attaques Durant, cette phase, le stagiaire se familiarise avec ce type d’attaques en se basant sur des articles de la littérature.
  • Phase 2 : Phase 2 : PoC de certaines attaques Des proofs of concept de certaines attaques ciblées seront réalisées. Cela permet à la fois de maîtriser parfaitement certaines attaques et de comprendre leurs limites.
  • Phase 3 : Études de différentes contremesures Différentes protections contre ces attaques existent. Une étude de protections software sera réalisée. L’étude porte sur la mise en place et l’efficacité des protections. Dans une moindre mesure, une étude théorique sur les protections hardware pourra être réalisée.
  • Phase 4 : Méthodologie d’évaluation de systèmes Lors d’évaluations de systèmes chez AMOSSYS, il peut arriver d’évaluer si des systèmes sont vulnérables à ce type d’attaques. Il s’agit, durant cette phase, de définir une méthodologie afin de déterminer efficacement si un système est vulnérable ou non.

Profil souhaité

  • Niveau de qualification en cours : Bac +5 en sécurité informatique
  • Compétences requises :
    • Programmation (connaissance du langage C requise)
    • Composantes matérielles (CPU, mémoire, hiérarchie des caches, ...)
    • Assembleur x86 ou x64
  • Compétences souhaitées :
    • Cryptographie
    • Attaques par canaux auxiliaires

Vous faites preuve d’autonomie et aimez travailler en équipe.

Modalités des stages

  • Durée des stages : 6 mois
  • Localisation : Rennes (35)
  • Rémunération : En fonction du niveau d'études
  • Avantages sociaux : Titres-restaurant / Chèques-cadeaux, culture, vacances (en fonction des évènements lors du stage)